Funzionalità e licenze per l'autenticazione a più fattori Microsoft Entra
Per proteggere gli account utente nell'organizzazione, è necessario usare l'autenticazione a più fattori. Questa funzionalità è importante soprattutto per gli account dotati di accesso con privilegi alle risorse. Le funzionalità di autenticazione a più fattori di base sono disponibili per gli utenti di Microsoft 365 e Microsoft Entra e gli amministratori globali senza costi aggiuntivi. Se si desidera aggiornare le funzionalità per gli amministratori o estendere l'autenticazione a più fattori al resto degli utenti con più metodi di autenticazione e maggiore controllo, è possibile acquistare l'autenticazione a più fattori di Microsoft Entra in diversi modi.
Importante
Questo articolo illustra in dettaglio i diversi modi in cui è possibile concedere in licenza e usare l'autenticazione a più fattori di Microsoft Entra. Per informazioni specifiche sui prezzi e sulla fatturazione, vedere la pagina dei prezzi di Microsoft Entra.
Versioni disponibili dell'autenticazione a più fattori Di Microsoft Entra
L'autenticazione a più fattori Microsoft Entra può essere usata e concessa in licenza in diversi modi a seconda delle esigenze dell'organizzazione. Tutti i tenant hanno diritto alle funzionalità di autenticazione a più fattori di base tramite impostazioni predefinite di sicurezza. È possibile che sia già possibile usare l'autenticazione a più fattori Avanzata di Microsoft Entra a seconda dell'ID Microsoft Entra, EMS o della licenza microsoft 365 attualmente disponibile. Ad esempio, i primi 50.000 utenti attivi mensili in Microsoft Entra per ID esterno possono usare mfa e altre funzionalità P1 o P2 Premium gratuitamente. Per altre informazioni, vedere prezzi Microsoft Entra per ID esterno.
La tabella seguente illustra in dettaglio i diversi modi per ottenere l'autenticazione a più fattori di Microsoft Entra e alcune delle funzionalità e dei casi d'uso per ognuno di essi.
| Utenti di | Capacità e casi d'uso |
|---|---|
| Microsoft 365 Business Premium ed EMS o Microsoft 365 E3 e E5 | EMS E3, Microsoft 365 E3 e Microsoft 365 Business Premium include Microsoft Entra ID P1. EMS E5 o Microsoft 365 E5 include Microsoft Entra ID P2. È possibile usare le stesse funzionalità di accesso condizionale indicate nelle sezioni seguenti per fornire l'autenticazione a più fattori agli utenti. |
| Microsoft Entra ID P1 | È possibile usare l'accesso condizionale Di Microsoft Entra per richiedere agli utenti l'autenticazione a più fattori durante determinati scenari o eventi in base ai requisiti aziendali. |
| Microsoft Entra ID P2 | Offre la posizione di sicurezza più avanzata e l'esperienza utente migliorata. Aggiunge l'accesso condizionale basato sul rischio alle funzionalità di Microsoft Entra ID P1 che si adattano ai modelli dell'utente e riduce al minimo le richieste di autenticazione a più fattori. |
| Tutti i piani di Microsoft 365 | L'autenticazione a più fattori Microsoft Entra può essere abilitata per tutti gli utenti che usano le impostazioni predefinite per la sicurezza. La gestione dell'autenticazione a più fattori Di Microsoft Entra è tramite il portale di Microsoft 365. Per un'esperienza utente migliorata, eseguire l'aggiornamento a Microsoft Entra ID P1 o P2 e usare l'accesso condizionale. Per altre informazioni, vedere Proteggere le risorse di Microsoft 365 con l'autenticazione a più fattori. |
| Office 365 gratuito Microsoft Entra ID Free |
È possibile usare le impostazioni predefinite per la sicurezza per richiedere agli utenti l'autenticazione a più fattori in base alle esigenze, ma non si dispone di un controllo granulare degli utenti o degli scenari abilitati, ma fornisce tale passaggio di sicurezza aggiuntivo. Anche quando le impostazioni predefinite per la sicurezza non vengono usate per abilitare l'autenticazione a più fattori per tutti, gli utenti a cui è stato assegnato il ruolo Microsoft Entra Global Amministrazione istrator possono essere configurati per l'uso dell'autenticazione a più fattori. Questa funzionalità del livello gratuito garantisce che gli account amministratore critici siano protetti dall'autenticazione a più fattori. |
Confronto delle funzionalità basato sulle licenze
La tabella seguente fornisce un elenco delle funzionalità disponibili nelle varie versioni di Microsoft Entra ID per l'autenticazione a più fattori. Pianificare le esigenze di protezione dell'autenticazione utente, quindi determinare quale approccio soddisfa tali requisiti. Ad esempio, anche se Microsoft Entra ID Free fornisce impostazioni predefinite di sicurezza che forniscono l'autenticazione a più fattori Microsoft Entra in cui è possibile usare solo l'app di autenticazione per dispositivi mobili per la richiesta di autenticazione. Questo approccio può costituire una limitazione se non è possibile verificare che l'app di autenticazione per dispositivi mobili sia installata nel dispositivo personale di un utente. Per altri dettagli, vedere Microsoft Entra ID Free tier più avanti in questo argomento.
| Funzionalità | Microsoft Entra ID Free - Impostazioni predefinite di sicurezza (abilitate per tutti gli utenti) | Microsoft Entra ID Free - Solo global Amministrazione istrators | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| Proteggere gli account di amministratore tenant di Microsoft Entra con MFA | ● | ● (solo account microsoft Entra Global Amministrazione istrator) | ● | ● | ● |
| App per dispositivi mobili come secondo fattore | ● | ● | ● | ● | ● |
| Chiamata telefonica come secondo fattore | ● | ● | ● | ||
| Messaggio di testo come secondo fattore | ● | ● | ● | ● | |
| Controllo amministrativo sui metodi di verifica | ● | ● | ● | ● | |
| Avviso di illecito | ● | ● | |||
| Report MFA | ● | ● | |||
| Messaggi di saluto personalizzati per le telefonate | ● | ● | |||
| ID chiamante personalizzato per le telefonate | ● | ● | |||
| Indirizzi IP attendibili | ● | ● | |||
| Memorizzazione di MFA per dispositivi attendibili | ● | ● | ● | ● | |
| MFA per applicazioni locali | ● | ● | |||
| Accesso condizionale | ● | ● | |||
| Accesso condizionale basato sul rischio | ● |
Confrontare i criteri di autenticazione a più fattori
L'approccio consigliato per applicare l'autenticazione a più fattori usa l'accesso condizionale. Esaminare la tabella seguente per determinare le funzionalità incluse nelle licenze.
| Criteri | Impostazioni predefinite per la sicurezza | Accesso condizionale | MFA per utente |
|---|---|---|---|
| Gestione | |||
| Set standard di regole di sicurezza per proteggere l'azienda | ● | ||
| Fare clic su/disattiva | ● | ||
| Incluso nelle licenze di Office 365 (vedere considerazioni sulle licenze) | ● | ● | |
| Modelli preconfigurati nella procedura guidata Amministrazione Microsoft 365 Center | ● | ● | |
| Flessibilità di configurazione | ● | ||
| Funzionalità | |||
| Esentare gli utenti dai criteri | ● | ● | |
| Eseguire l'autenticazione tramite telefonata o SMS | ● | ● | ● |
| Eseguire l'autenticazione da microsoft Authenticator e token software | ● | ● | ● |
| Eseguire l'autenticazione da FIDO2, Windows Hello for Business e token hardware | ● | ● | |
| Blocca i protocolli di autenticazione legacy | ● | ● | ● |
| I nuovi dipendenti sono protetti automaticamente | ● | ● | |
| Trigger MFA dinamici basati su eventi di rischio | ● | ||
| Criteri di autenticazione e autorizzazione | ● | ||
| Configurabile in base alla posizione e allo stato del dispositivo | ● | ||
| Supporto per la modalità "solo report" | ● | ||
| Possibilità di bloccare completamente utenti/servizi | ● |
Acquistare e abilitare l'autenticazione a più fattori Microsoft Entra
Per usare l'autenticazione a più fattori Microsoft Entra, registrarsi o acquistare un livello Microsoft Entra idoneo. Microsoft Entra ID è disponibile in quattro edizioni: Gratuito, Office 365, Premium P1 e Premium P2.
L'edizione Free è inclusa in una sottoscrizione Azure. Vedere la sezione seguente per informazioni su come usare le impostazioni predefinite di sicurezza o proteggere gli account con il ruolo Microsoft Entra Global Amministrazione istrator.
Le edizioni Microsoft Entra ID P1 o P2 sono disponibili tramite il rappresentante Microsoft, il programma Open Volume License e il programma Cloud Solution Providers. I sottoscrittori di Azure e Microsoft 365 possono anche acquistare online Microsoft Entra ID P1 e P2. Accedere per acquistare.
Dopo aver acquistato il livello Microsoft Entra richiesto, pianificare e distribuire l'autenticazione a più fattori Di Microsoft Entra.
Livello gratuito di Microsoft Entra ID
Tutti gli utenti in un tenant Microsoft Entra ID Free possono usare l'autenticazione a più fattori Di Microsoft Entra usando le impostazioni predefinite di sicurezza. L'app di autenticazione per dispositivi mobili può essere usata per l'autenticazione a più fattori di Microsoft Entra quando si usano le impostazioni predefinite di sicurezza Microsoft Entra ID Free.
- Altre informazioni sulle impostazioni predefinite per la sicurezza di Microsoft Entra
- Abilitare le impostazioni predefinite di sicurezza per gli utenti in Microsoft Entra ID Free
Se non si vuole abilitare l'autenticazione a più fattori Di Microsoft Entra per tutti gli utenti, è invece possibile scegliere di proteggere solo gli account utente con il ruolo Microsoft Entra Global Amministrazione istrator. Questo approccio offre più richieste di autenticazione per gli account amministratore critici. L'autenticazione a più fattori Di Microsoft Entra viene abilitata in uno dei modi seguenti, a seconda del tipo di account usato:
- Se si usa un account Microsoft, registrarsi per l'autenticazione a più fattori.
- Se non si usa un account Microsoft, attivare l'autenticazione a più fattori per un utente o un gruppo in Microsoft Entra ID.
Passaggi successivi
- Per altre informazioni sui costi, vedere Prezzi di Microsoft Entra.
- Informazioni sull'accesso condizionale
- Informazioni su Identity Protection
- L'autenticazione a più fattori può anche essere abilitata in base all'utente